PII - Personally Identifiable Information
About 2 min read
個人識別情報 (PII: Personally Identifiable Information) とは、単独または他の情報と組み合わせることで 特定の個人を識別できる情報の総称です。氏名や住所のように直接個人を特定できるものから、 IP アドレスや Cookie ID のように他のデータと結合して初めて個人を特定できるものまで、 その範囲は法域や文脈によって大きく異なります。データ分類の 最も基本的なカテゴリであり、あらゆるセキュリティ対策の出発点となる概念です。
直接識別子と準識別子
単独で個人を特定可能
- 氏名
- マイナンバー / SSN
- パスポート番号
- メールアドレス
- 顔写真
組み合わせで個人を特定可能
- 生年月日
- 郵便番号
- 性別
- 職業
- IP アドレス
カーネギーメロン大学の Latanya Sweeney 教授の研究 (2000 年) は、米国の国勢調査データにおいて 郵便番号・生年月日・性別の 3 項目だけで人口の約 87% を一意に特定できることを示しました。 この研究は「匿名化したつもりのデータ」がいかに脆弱かを実証し、準識別子の危険性を 世界に知らしめた画期的な成果です。
法域による定義の違い
| 観点 | GDPR (EU) | CCPA (米国カリフォルニア) | 個人情報保護法 (日本) |
|---|---|---|---|
| 用語 | 個人データ (Personal Data) | 個人情報 (Personal Information) | 個人情報 |
| IP アドレス | 個人データに該当 | 該当しうる | 単独では非該当 (通信ログと結合時は該当) |
| Cookie ID | 個人データに該当 | 該当しうる | 個人関連情報 (2022 年改正で規制強化) |
| 違反時の制裁 | 全世界売上の 4% または 2,000 万ユーロ | 1 件あたり最大 7,500 ドル | 命令違反に 1 年以下の懲役または 100 万円以下の罰金 |
注目すべきは、GDPR が最も広い定義を 採用している点です。 GDPR では「識別された、または識別可能な自然人に関するあらゆる情報」が 個人データとされ、オンライン識別子 (Cookie 、広告 ID) も明確に含まれます。 グローバルにサービスを展開する場合、最も厳格な法域の基準に合わせて PII を定義するのが実務上の安全策です。
匿名化技術 - k-匿名性とその先
PII を含むデータセットを分析や共有に利用する際、個人を特定できないよう加工する技術が匿名化です。 代表的な手法として以下の 3 つがあります。
同一属性が k 人以上
機微属性が l 種以上
分布の偏りを t 以下に
k-匿名性は「同じ準識別子の組み合わせを持つレコードが k 件以上存在する」ことを保証しますが、 機微属性 (病名など) が全員同じ値だと個人の情報が推測されてしまいます。 l-多様性はこの弱点を補い、 t-近接性はさらに属性値の分布の偏りまで制御します。実務ではデータマスキングやトークナイゼーションと 組み合わせて多層的に保護するのが一般的です。
データ最小化の原則
PII 保護の最も効果的な戦略は、そもそも不要な PII を収集・保持しないことです。 GDPR 第 5 条が定める「データ最小化の原則」は、目的に必要な最小限のデータのみを 収集・処理することを求めています。実務では「このフィールドは本当に必要か?」を 設計段階で問い直すことが重要です。たとえば、年齢確認が目的なら生年月日ではなく 「18 歳以上か否か」のフラグで十分です。保持する PII が少なければ、データ漏洩時の 被害も自ずと限定されます。privacy protection books on Amazonでデータ最小化の具体的な実装パターンを学ぶことができます。
PII 漏洩時の影響と対応
PII が漏洩した場合、組織は法的義務として監督機関への報告と本人への通知を行う必要があります。 GDPR では 72 時間以内の監督機関への通知が義務付けられ、日本の個人情報保護法でも 2022 年の改正により個人情報保護委員会への報告と本人通知が義務化されました。 漏洩の影響は金銭的損害にとどまらず、クレデンシャルスタッフィングやスピアフィッシングの 標的情報として悪用されるリスクがあります。データ漏洩対応ガイドやプライバシー設定ガイドも あわせて確認してください。
Was this article helpful?